回顾总结一下 flask 开发api时用到的用户登陆验证系统。基本的想法如下:
1、用户登陆后,将用户的 uid 加密后放在 cookie 中;
2、每次网络请求均验证该 cookie 是否过期,如果过期则需要用户重新登陆;
3、支持二级站点跨域访问。
基本工具模块
创建一个 utils 模块,在 __init__.py 文件中写入如下代码:
#encoding:utf8
import os,datetime,urlparse
from jot import jwt,jws
import Cookie
from .. import config as conf
# 用于创建每个api的response的基本模板
def create_result(msg='ok',code=0):
return {
'msg':msg,
'code':code,
'data':None
}
# 创建一个中间件,对 Request 进行解析处理
class ReqParser(object):
def __init__(self,request):
# 用 _myproject_sess 作为cookie中存放登陆token的key
self.__cookie_key='_myproject_sess'
self.__date=datetime.datetime.now()
# 请求地址
self.__remote_addr=request.remote_addr
# 请求方法
self.__method=request.method
# 请求参数
url_parse_res=urlparse.urlparse(request.url)
# 请求路径
self.__path=url_parse_res.path
# 仅支持GET和DELETE的url参数
if self.__method in ('GET','DELETE'):
self.__params={
k:v[-1] for k,v in urlparse.parse_qs(url_parse_res.query).items()
}
elif self.__method in ('POST','PUT'):
# 对POST和PUT,同时支持上传json或form
if request.json is not None:
self.__params = request.json
elif request.form is not None:
self.__params=request.form
else:
# 对于不支持的方法都报错
raise Exception('Methods not allowed')
# 保存 headers
self.__headers=dict(request.headers.items())
# 保存 ua
self.__user_agent=self.__headers.get('User-Agent',None)
# 保存 referer
self.__ref=request.referrer
# 能正常解析的,创建一个变量 __status,保存值为0
self.__status=0
# 从cookie中获取token
def get_cookie(self):
c = Cookie.SimpleCookie()
c.load(self.__headers.get('Cookie', '').encode('utf8'))
return c.get(self.__cookie_key).value
# 从 cookie 中获取 uid,用于验证是否是合法的登陆用户
def get_user_id(self,validate=True):
try:
c=Cookie.SimpleCookie()
c.load(self.__headers.get('Cookie','').encode('utf8'))
cookie = jwt.decode(c.get(self.__cookie_key).value,
signers=[jws.HmacSha(bits=256, key=conf.c_key)])
return int(cookie['payload']['uid'])
# 获取api的版本号
def get_ver(self):
return self.__headers.get('myapi-ver',None)
except:
if not validate: return -1
raise Exception(conf.ERR_NOT_USER)
# 登陆成功时用于在数据库保存登陆log
def loggin(self,resp_time):
self.__user_id=self.get_user_id()
self.__resp_time=resp_time
log_content={
'date':self.__date,
'user_id':self.__user_id,
'method':self.__method,
'path':self.__path,
'params':self.__params,
'remote-addr':self.__remote_addr,
'user-agent':self.__user_agent,
'ref':self.__ref,
'status':self.__status,
'resp-time':self.__resp_time
}
# 省略在数据库加入登陆记录的代码
使用工具类来处理 api 请求
需要注意以下一些问题:
- 在 flask 创建的 app 中,首先需要声明支持二级站点的跨域访问
- 创建一个装饰方法,统一处理基本异常情况,将异常转换为错误信息返回给前端
支持跨域访问
from flask_cors import CORS
flask_app=Flask(__name__)
flask_app.config.from_object(conf.config[status])
cors=CORS(flask_app,supports_credentials=True)
装饰方法统一处理异常情况
完成如下功能:
1、记录每个请求的处理时间,便于性能调试
2、异常情况分为两种:一种是系统产生的异常信息;一种是自定义的异常信息(比如未登录用户访问了需要登录才能访问的接口等等)
def error_handler(func):
def wrapper(*args,**keys):
try:
time_start=time.time()
# 通过 func 内部 raise Exception 将一些约定的错误返回到这里
resp=func(*args,**keys)
time_finish=time.time()
resp.resp_time=time_finish-time_start
return resp
except Exception as err:
resp=utils.create_result()
e_msg=str(err.message)
# 自定义的出错信息用“编号::出错描述”的形式传递出错信息
# 比如:ERR_NOT_USER=u'3::未登录用户不能访问'
if e_msg.find('::')==-1:
resp['code'],resp['msg']=-1,e_msg
else:
info=e_msg.split('::')
resp['code'], resp['msg'] = info[0],info[1]
return jsonify(resp)
return wrapper
error_handler 的使用举例:
class ApiUploadDocxZip(MethodView):
def __init__(self,template):
self.template=template
super(ApiUploadDocxZip,self).__init__()
@error_handler
def post(self):
req_parser = utils.ReqParser(request)
user_id = req_parser.get_user_id()
file=request.files['files']
filename = file.filename
result=utils.create_result()
if allowed_ext(filename):
......
return jsonify(result)
else:
raise Exception(conf.ERR_INVALID_FILE_TYPE)
